Künstliche Intelligenz, Cyber Security und Regulatorik: Die digitale Dreifaltigkeit zur Sicherung der virtuellen Welt
Es ist ein stetes Kopf-an-Kopf-Rennen zwischen Gut und Böse, zwischen Angriff und Verteidigung – geprägt durch permanente technologische Neuerungen und Möglichkeiten. Während Cyber Security die Verteidigung der eigenen Infrastrukturen obliegt – unabhängig von den Angriffsvariationen – ändern sich in rasender Geschwindigkeit die äußeren Gegebenheiten. Es ist wenig verwunderlich, dass die Investitionen von deutschen Unternehmen und Behörden in IT-Sicherheit laut einer aktuellen Bitcom-Umfrage erstmals den Schwellwert der 10-Milliarden-Euro-Marke überschreiten.
Künstlicher Intelligenz kommt dabei eine immer wichtigere Bedeutung zu, sowohl auf der Seite der Angreifenden als auch auf der Seite der Verteidigenden. Gleichzeitig gewinnt die Regulatorik zunehmend an Bedeutung, da sowohl Regierungen als auch Unternehmen nach Wegen suchen, KI sicher und ethisch vertretbar zu nutzen.
Künstliche Intelligenz im Rahmen der Cyber Security
Ob Künstliche Intelligenz eine Chance oder ein Risiko für die Cyber Security ist – das ist eine Frage der Sichtweise und der Argumentation. Letztlich ist Künstliche Intelligenz erst einmal ein neutrales Werkzeug. Wie jedes andere Werkzeug auch, hängt das Ergebnis des Einsatzes davon ab, wie das Werkzeug genutzt wird. Sprich: Das Werkzeug definiert nicht das Ergebnis, sondern der Anwendende.
In diesem Zusammenhang gilt es für den Bereich Cyber Security und KI, bzw. grundsätzlich für den Einsatz neuer Technologien, zwei Seiten zu betrachten:
Die Seite der Angreifenden
Angreifende haben einen entscheidenden Vorteil im Einsatz neuer Technologien für ihre jeweiligen Vorhaben: Da keine weiteren Einschränkungen in erster Instanz vorhanden sind (Regulatorik, Organisationsvorgaben etc.), können Tools beliebig für verschiedene Einsatzzwecke getestet werden. So ist es für Angreifende schneller möglich, Technologien für Angriffe bestmöglich auszunutzen. Sie sind daher meist einen Schritt voraus – auch mit Blick auf die Verschleierung eigener Taten und Mittel.
Durch den zusätzlichen Einsatz von Künstlicher Intelligenz sinkt der Bedarf menschlicher Ressourcen; viele Schritte können durch Prompts mittels KI automatisch abgedeckt werden: Durch die KI ist es leichter, Phishing-Mails authentisch (teils auch empathischer) vorzuformulieren und zu formatieren, schädliche Codes (bzw. Code-Variationen) lassen sich effizienter erstellen, manuelle Schritte können automatisiert werden und auch große Datenmengen werden in Sekunden zusammengefasst, um so Angriffsvektoren im Bruchteil der gewohnten Zeit zu identifizieren. Potenzielle Angreifer können sich mit Hilfe der KI auch selbst schneller befähigen, verschiedene Angriffstechniken zu erlernen und anzuwenden, man könnte von „KI-qualifizierten Scriptkiddies“ sprechen.
Die Seite der Verteidigenden
Auf der anderen Seite ist die Seite stehen die Verteidigenden. Ihnen stehen ebenfalls die neuen Technologien zur Verfügung - zumindest in der Theorie. Die Herausforderungen: Im Kontext einer Organisation sind regulatorische Restriktionen vorhanden. Diese sind sinnvoll, da sensible Daten geschützt werden müssen – doch sie erschweren den Einsatz neuer Technologien. Häufig werden auch weitere Regularien geschaffen, die zwar dem Schutz dienen, zugleich aber auch weitere Einschränkungen schaffen. Diese Einschränkungen beziehen sich zum Beispiel auf Vorgaben, wo welche Software unter welchen Bedingungen gehostet wird und wie auf die unternehmenseigenen Daten zugegriffen wird.
Trotz des bestehenden Wettkampfs, der nicht nur mit Blick auf Künstliche Intelligenz aufkommt, birgt diese große Potenziale für die Cyber Security. Ein immenser Vorteil, den Angreifende nicht aushebeln können: Einmal spezifisch trainiert, analysieren KI-gestützte Systeme große Datenmengen nahezu in Echtzeit und erkennen Bedrohungen schneller als je zuvor. Besonders bei der Erkennung neuer, komplexer Angriffe spielt KI eine zentrale Rolle. Sie analysiert Verhaltensmuster und kann frühzeitig auf Anomalien hinweisen, bevor Schäden entstehen. Diese Fähigkeit zur Predictive Analytics erlaubt es Organisationen, proaktiv statt reaktiv zu handeln. Das bedeutet zugleich, dass auch menschliche Fehler reduziert werden. Durch die automatisierte Überwachung freigewordene Ressourcen können so eingesetzt werden, um komplexere, weniger repetitive Aufgaben zu übernehmen.
Eine weitere Chance durch den Einsatz: Die KI kann aus vergangenen Angriffen, bzw. Angriffsversuchen, lernen und sich so kontinuierlich neuen Bedrohungen anpassen. Dadurch wird der gebotene Schutz deutlich dynamischer und flexibler.
Empfehlung:
Künstliche Intelligenz in der Cyber Security ist nicht gleichzusetzen mit dem Einsatz von ChatGPT, Copilot oder ähnlichen Systemen. Es handelt sich dabei um spezifische Tools oder mindestens eine tiefe Integration der genannten Sprachmodelle in andere Systeme (u. a SIEM, Security Operation Management). Wichtig ist, dass die eingesetzten KI-Systeme die eingegebenen Daten in einem organisationseigenen Raum behalten und nicht in einen „Datenpool“ integrieren, der gemeinschaftlich mit einem unbekannten Publikum geteilt wird.
Bei allen Vorteilen des Einsatzes von Künstlicher Intelligenz – es gilt auch die Risiken zu bedenken. Dazu gehören unter anderem die sogenannten „False Positives“ – also Fehlalarme. Diese werden ausgelöst, wenn die KI aufgrund eines antrainierten Musters auch in einem harmlosen Log eine vermeintliche Bedrohung erkennt. Ein anderes Thema in dem Zusammenhang ist das „Blackbox-Problem“ – viele KI-Systeme sind so komplex und vielschichtig, dass nicht in jedem Fall nachgewiesen werden kann, wie eine Ausgabe der KI zustande gekommen ist. KI kann auch selbst zu einem Angriffsvektor werden, beispielsweise durch Prompt Injection Angriffe. In dem Fall manipulieren Angreifende die Eingaben (Prompts) bei Large Language Models (LLMs, große Sprachmodelle). Böswillige Prompts werden als legitime Informationen eingegeben. Ziel ist es, u. a. das System dazu zu bringen, sensible Daten auszugeben oder auch Fehlinformationen zu streuen.
Hierzu ein simples Alltagsbeispiel zur Veranschaulichung der Bedrohung: Ein Online-Shop arbeitet mit einem Chatbot und dieser wird von Hackern genutzt, um Informationen direkt vom Kunden abzugreifen. Die Sicherstellung des Schutzziels Authentizität wird deutlich herausfordernder.
Es ist wichtig, dass in dem Fall mit einem vertrauensvollen, kompetenten Partner zusammengearbeitet wird und dieser bestmögliche Transparenz zur Funktions- und Arbeitsweise eines Systems geben kann.
Wie ergänzt Regulatorik die Dimensionen Cyber Security und Künstliche Intelligenz?
Regulatorik hat im Zusammenspiel mit Cyber Security eine zentrale Bedeutung. Durch sie werden sensible Daten sowie kritische Infrastrukturen geschützt, einheitliche und anerkannte Standards (z. B. ISO 27001) sowie Verantwortlichkeiten geschaffen, die (internationale) Zusammenarbeit gefördert und harmonisiert – aber gleichzeitig auch der Anreiz für Innovationen im Unternehmen geschaffen. Dadurch kann Cyber Security auf einem hohen Niveau gefördert werden.
Insbesondere mit Blick auf Künstliche Intelligenz, dem leichten Zugang zu dieser Technologie sowie der Verbreitung dieser, wächst der regulatorische Druck. Insbesondere in der Europäischen Union (EU) und den USA wird derzeit intensiv an Richtlinien gearbeitet, die den sicheren und ethischen Einsatz von KI gewährleisten sollen, denn: Bestehende Richtlinien, wie eine Datenschutz-Grundverordnung (DSGVO), können nicht mehr alle aufkommenden Bedarfe zum Schutz von Daten ausreichend abdecken. Abhilfe sollen dahingehend zwei Regulierungen auf europäischer Ebene schaffen: Die Verordnung über harmonisierte Vorschriften für einen fairen Datenzugang und eine faire Datennutzung (kurz: Data Act), die am 27. November 2023 durch den Rat der Europäischen Union verabschiedet wurde. Mit dem 11. Januar dieses Jahres ist der Data Act in Kraft getreten und wird ab dem 12. September 2025 zum EU-weiten, direkt anwendbaren Recht.
Kurzum dient der Data Act dazu, dass in verschiedensten Lebensbereichen Daten künftig mehr und besser genutzt werden können. Knapp ein halbes Jahr später wurde am 21. Mai 2024 mit dem AI Act ein einheitlicher Rahmen für den Einsatz von KI innerhalb der EU verabschiedet. Ziel des AI Acts ist es, Vertrauen und Akzeptanz durch die Regulierung von Künstlicher Intelligenz zu schaffen. Dabei wird u. a. ein risikobasierter Ansatz verfolgt. Das bedeutet: Je höher das Risiko bei der Anwendung von KI eingeschätzt wird, desto strenger sind die Auflagen.
Die internationalen Vorgaben werden ergänzt um nationale Regulatorik – bzw. Vorgaben, die in nationale Regelungen überführt wurden. Zu den Beispielen der internationalen Richtlinien, die viele Organisationen aktuell beschäftigen, gehören z. B. die NIS2-Richtlinie oder auch DORA. Zu den ins nationale Recht überführten Richtlinien gehören u. a. das IT-Sicherheitsgesetz (aktuell IT-SiG2.0) oder auch KRITIS.
Viel Regulatorik – wenig Fortschritt?
Die regulatorischen Rahmenbedingungen bergen im Zusammenspiel mit Künstlicher Intelligenz auf den ersten Blick viel Komplexität sowie die Notwendigkeit technologischer Anpassungen, die gleichzeitig auch mit Kosten verbunden sind. Eigene, bestehende IT-Sicherheitsmaßnahmen müssen auf den Prüfstand gestellt und gegebenenfalls modernisiert werden. Letztgenanntes ist mit Kosten verbunden – doch nicht nur das: Neben den technischen Voraussetzungen wird auch die Sensibilisierung der Mitarbeitenden sowie deren Schulungen zu einem essenziellen Bestandteil der Maßnahmen.
Doch bei all den Herausforderungen bieten sich durch die Regulatorik auch viele Vorteile: Die Reputation sowie das Vertrauen in die Organisation, insbesondere auf Seiten der Kund:innen oder Bürger:innen, steigen. Daraus ergeben sich langfristige Wettbewerbsvorteile – denn auch auf der Seite der Verteidigenden ist es ein steter Wettlauf um die bestmögliche Positionierung als sicherer Anbieter.
Zudem dienen die verschiedenen Auflagen durch die Regulatorik dazu, die IT-Sicherheit von Organisationen und damit den Schutz der dort gelagerten Daten zu steigern. Je mehr ein Unternehmen oder eine Behörde sich daraufhin ausrichtet, desto mehr wird in die eigene Sicherheit investiert. Darüber hinaus gibt es einen weiteren Faktor, der verringert wird – denjenigen vor rechtlichen Risiken sowie möglichen Strafen.
Schlussendlich: Sind Cyber Security, KI und Regulatorik wirklich die Dreifaltigkeit der digitalen Sicherheit?
Cyber Security, KI und Regulatorik bilden tatsächlich eine Art Dreifaltigkeit der digitalen Sicherheit. Cyber Security schützt vor Bedrohungen und Angriffen, während KI hilft, diese Bedrohungen frühzeitig zu erkennen und zu bekämpfen. Regulatorik sorgt dafür, dass es klare Richtlinien und Standards gibt, die eingehalten werden müssen, um ein sicheres digitales Umfeld zu gewährleisten. Zusammen schaffen sie eine robuste Verteidigungslinie gegen die vielfältigen Risiken der digitalen Welt.
